前面给大家讲解了华为、锐捷、华三交换路由设备的基本配置命令,这里也给大家讲讲迈普网络配置命令。说到迈普这里我觉得有必要给大家讲讲迈普的背景以及应用场景。迈普是中国电子旗下产业,同时也是中国排名前五的网络设备制造商,迈普设备多见于金融和政府以及军工企业,普通企业用得比较少。在信创网络中,迈普设备占比很大,可谓是三分天下有其一,其实这也跟其东家强悍的实力不无关系。中国电子集团是超大型央企,现总部在深圳,拥有27家二级企业、17家上市公司,旗下有中国软件、中国长城、飞腾、麒麟、盛科、中国电子云、奇安信等知名企业。
中国电子
迈普
下面我就给大家讲讲迈普设备的常用网络配置以及故障恢复的基本操作。
Hostname#configure terminal
Hostname(config)#line vty 0 5
Hostname(config-line)#absolute-timeout 5#配置vty 0-5的Telnet登录用户操作的绝对时间为5分钟
Hostname(config-line)#no absolute-timeout#恢复vty 0-5的Telnet登录用户操作的绝对时间为缺省值
Hostname(config-line)#exec-timeout 0 0#配置vty 0-5的Telnet登录用户空闲超时不退出
Hostname(config-line)#login local#配置vty 0-5的Telnet登录用户使用本地用户数据库认证
Hostname(config-line)#authorization commands 15 default#配置vty 0-5的Telnet登录用户的授权命令级别为15,引用的授权方法为缺省方法列表
Hostname(config-line)#password 0 admin#配置vty 0-5的Telnet登录用户密码为“admin”
Hostname(config-line)#privilege level 5#配置vty 0-5的Telnet登录用户授权的级别为5
Hostname(config-line)#timeout login respond 10#配置vty 0-5的Telnet等待输入用户名或者密码的超时时间为10秒
Hostname(config-line)# access-class 2 in#配置vty 0-5上的in方向绑定ACL号为2的ACL
#配置用户名称、密码、级别、延迟
Hostname#configure terminal
Hostname(config)#user admin password 0 admin#配置用户“admin”,密码为“admin”
Hostname(config)#user admin nopassword#配置用户“admin”在登录时无需密码验证
Hostname(config)#user admin privilege 10#配置用户“admin”的授权级别为10
Hostname(config)#user admin autocommand-option delay 30#配置用户“a”延迟30秒才执行自动命令
Hostname(config)#user max 30#配置用户的最大数目为30个
Hostname#clear line vty 0#清除vty0的终端服务
Hostname#show privilege#查看当前用户的级别
Hostname#show users#查看当前用户
FTP和TFTP配置命令
Hostname#configure terminal
Hostname(config)#ftp enable#开启FTP服务器功能
Hostname(config)#ftp listen-port 1000#配置FTP服务的监听端口号为1000
Hostname(config)#ftp max-user-num 3#配置允许同时登录的最大用户数为3
Hostname(config)#ftp timeout 600#配置FTP连接超时时间为600秒
Hostname(config)#ip ftp source-interface 8.8.8.8#配置设备作为FTP客户端与服务器进行通信时,使用的源地址为8.8.8.8
Hostname(config)#ip ftp source-interface vlan2#配置设备作为FTP客户端与服务器进行通信时,使用的源接口为VLAN2
Hostname(config)#ip ftp port-first#配置设备作为FTP客户端与服务器进行通信时,使用优先尝试使用port模式来建立数据连接
Hostname(config)#ip tftp source-interface 8.8.8.8#配置设备作为TFTP客户端与服务器进行通信时,使用的源IP地址为8.8.8.8
Hostname(config)#ip tftp source-interface vlan2#配置设备作为TFTP客户端与服务器进行通信时,使用的源接口为VLAN2
配置文件管理
Hostname#filesystem
Hostname(config-fs)#copy running-config ftp 128.255.16.107 admin 1234 running-config
将当前的配置备份到128.255.16.107的FTP服务器指定目录中,文件名叫running-config
Hostname(config-fs)#copy startup-config ftp 128.255.16.107 admin 1234 startup#将启动配置备份到128.255.16.107的FTP服务器的指定目录中,文件名叫startup
Hostname#clock 2012 12 16 14 30 0#配置设备的系统时间为2012年12月16日14点30分
Hostname(config)#exception period-detect enable#开启周期性异常检测。
Hostname(config)#login-secure check-record-interval 30#配置检查登录安全服务记录老化的间隔时间为30分钟
Hostname#spy cpu#开启各个进程CPU占用率的监视
Hostname#no monitor cpu#关闭CPU占用率的统计功能
Hostname(config)#service login-secure#配置启用系统登录安全服务。
Hostname(config)# alarm temperature cpu 80#配置系统CPU温度告警门限为80度。
Hostname(config)#logging buffer informational#配置储存在内存中的日志级别大于等于6级
Hostname(config)#no logging console#关闭控制台日志显示功能
#配置用户在控制台与监控台的操作指令发送到日志服务器192.168.1.101上。
Hostname(config)#logging 192.168.1.101
Hostname(config)#logging event
Hostname(config)#logging facility syslog#配置日志类型为syslog
Hostname(config)#logging file errors#配置记录3级及以上日志到Flash储存器
Hostname(config)#logging file max-size 204800#配置Flash储存器的日志文件容量为204800字节
#配置过滤仅含有“HA”字符串的日志信息,且级别范围为0-6的日志。
Hostname(config)#logging filter include HA
Hostname(config)#logging filter level 0 6
Hostname(config)#logging 192.168.1.101 port 524 informational#配置日志6级及以上发送至服务器192.168.1.101的524端口
Hostname(config)#logging monitor informational#配置监控台的日志显示级别大于等于6级
Hostname(config)#logging server#配置开启设备作为日志服务器功能
Hostname(config)#logging source-ip 192.168.1.101#配置发送到日志服务器的日志采用源地址为192.168.1.101
Hostname(config)#no logging trap#关闭日志信息发送到日志服务器
Hostname(config)#interface group 0 enum vlan 2 vlan 3 vlan 4#以列举的方式创建接口组0,成员为VLAN接口vlan2、vlan3和vlan4
Hostname(config)#interface group 0 range vlan 2 vlan 4#以指定范围的方式创建接口组0,包含VLAN接口vlan2到vlan4
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#load-interval 60#设置接口gigabitethernet0/1的流量统计时间间隔为60秒
Hostname(config-if-gigabitethernet0/1)#energy-efficient-ethernet enable#启用以太接口gigabitethernet0/1的能效以太网功能
Hostname(config)# stat interframe-gap#打开端口的报文和流量帧间隙统计
Hostname(config-if-gigabitethernet0/1)#flowcontrol on#启用端口gigabitethernet0/1的流控功能
Hostname(config-if-gigabitethernet0/1)#hol-blocking disable#禁用端口gigabitethernet0/1的线头阻塞功能。
Hostname(config-if-gigabitethernet0/1)#link-delay 10#设置端口gigabitethernet0/1由Up变为Down的延迟上报时间为10秒
Hostname(config-if-gigabitethernet0/1)#logging event link-status#设置将端口gigabitethernet0/1的链路状态变化事件发送到日志服务器
Hostname(config-if-gigabitethernet0/1)#loopback internal#启用以太接口gigabitethernet0/1的内部环回测试功能
Hostname(config-if-gigabitethernet0/1)#mtu 1024#设置以太接口gigabitethernet0/1的MTU为1024字节
Hostname(config-if-gigabitethernet0/1)#mdix cross#设置以太接口gigabitethernet0/1的MDIX模式为cross
Hostname(config-if-gigabitethernet0/1)#rapid-scan on#使能端口gigabitethernet0/1的快速扫描功能
Hostname(config-if-gigabitethernet0/1)#storm-control broadcast bps 1024#设置端口gigabitethernet0/1每秒允许转发的最大广播流量为1024kbps
Hostname(config-if-gigabitethernet0/1)#storm-control action shutdown#设置端口gigabitethernet0/1在检测到风暴后关闭端口,发送trap告警信息到日志服务器,在设备上记录并且在终端上打印输出检测到风暴的告警信息。
Hostname(config-if-gigabitethernet0/1)#no switchport#将以太接口gigabitethernet0/1的工作模式由二层模式切换到三层模式
Hostname(config-if-gigabitethernet0/1)#uni-isolate community#设置uni端口gigabitethernet0/1可以转发报文到其它uni端口
Hostname#test cable-diagnostics interface gigabitethernet 0/1#对以太接口gigabitethernet0/1进行线缆检测,并显示检测结果
Hostname#show cable-diagnostics interface gigabitethernet 0/1
Hostname#clear cable-diagnostics interface gigabitethernet 0/1#清除以太接口gigabitethernet0/1的线缆检测结果信息
Hostname#configure terminal
Hostname(config)#link-aggregation 1#进入汇聚组1配置模式
Hostname(config-link-aggregation1)#forward-mode global-fair#将汇聚组1的转发模式设置为全局负载均衡
Hostname#clear link-aggregation 1 statistics#清除汇聚组1的报文和流量统计信息
Hostname#show link-aggregation 1 statistics#显示汇聚组1的报文和流量统计信息
VLAN配置
Hostname#configure terminal
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#ip-subnet-vlan enable#使能端口gigabitethernet0/1的IP子网VLAN功能
Hostname(config-if-gigabitethernet0/1)#ip-subnet-vlan priority front#配置端口gigabitethernet0/1收到的报文匹配IP子网VLAN的优先级别高于MAC VLAN
Hostname(config)#ip-subnet-vlan ipv4 192.168.0.1 mask 255.255.255.0 vlan 2 pri 5#配置匹配的IP地址为192.168.0.1,掩码为255.255.255.0,划分到VLAN2,802.1p优先级为5
Hostname(config-if-gigabitethernet0/1)#mac-vlan enable#使能端口gigabitethernet0/1的MAC VLAN功能
Hostname(config)#mac-vlan mac-address 0001.7A00.0001 vlan 2 pri 1#配置匹配的MAC地址为0001.7A00.0001,划分到VLAN2,802.1p优先级为1
Hostname(config-if-gigabitethernet0/1)#protocol-vlan enable#使能端口gigabitethernet0/1的协议VLAN功能
Hostname(config)#protocol-vlan profile 1 frame-type ETHERII ether-type 0x600#配置协议模板号为1,封装格式为EthernetII,协议类型为0x600的协议模板
Hostname(config-if-gigabitethernet0/1)#protocol-vlan profile 1 vlan 2#配置端口gigabitethernet0/1匹配协议模板1,划分到VLAN2
Hostname(config-if-gigabitethernet0/1)#switchport accept frame-type untag#配置端口gigabitethernet0/1的只接收Untag报文
Hostname(config-if-gigabitethernet0/1)#switchport mode hybrid
Hostname(config-if-gigabitethernet0/1)#switchport hybrid pvid vlan 2#配置Hybrid端口gigabitethernet0/1的PVID为VLAN2
Hostname(config-if-gigabitethernet0/1)#switchport hybrid tagged vlan 2
Hostname(config-if-gigabitethernet0/1)#switchport hybrid untagged vlan 3#将Hybrid端口gigabitethernet0/1以Untagged方式加入VLAN3,以Tagged方式加入VLAN2
Hostname(config-if-gigabitethernet0/1)#switchport mode trunk
Hostname(config-if-gigabitethernet0/1)#switchport trunk allowed vlan add 2,4-5#配置Trunk端口gigabitethernet0/1允许VLAN2,VLAN4~VLAN5通过
Hostname(config-if-gigabitethernet0/1)#switchport trunk pvid vlan 2#配置Trunk端口gigabitethernet0/1的PVID为VLAN2
Hostname(config-if-gigabitethernet0/1)#vlan dot1q tag pvid#配置从Trunk端口gigabitethernet0/1发送Tag为PVID所在VLAN报文时,保留VLAN Tag
Hostname(config)# interface vlan 2
Hostname(config-if-vlan2)#bandwidth 20000#配置接口VLAN2的逻辑带宽为20Mbps
Hostname(config-if-vlan2)#delay 500#配置接口VLAN2的时延为5000微秒
Hostname(config-if-vlan2)#mtu 1200#配置接口VLAN2的 MTU为1200字节
Hostname#clear interface vlan 2#清除接口VLAN2的统计信息
Hostname#debug interface vlan 2 all#打开接口VLAN2接收和发送的帧信息的完整内容的调试开关
Hostname#show interface vlan 2 original statistics#显示接口VLAN2的统计信息
Hostname(config)#interface null 0
Hostname(config-if-null0)#no ip unreachables#禁止Null0接口发送ICMP不可达差错报文
tunnel接口
Hostname(config)#interface tunnel 0
Hostname(config-if-tunnel0)#bandwidth 200#配置tunnel0逻辑带宽为200Kbps
Hostname(config-if-tunnel0)#delay 100#配置接口tunnel0时延为1000微秒
Hostname(config-if-tunnel0)#tunnel mode gre ip#配置tunnel0的工作模式为GRE over IPv4
Hostname(config-if-tunnel0)#tunnel tos 100#配置tunnel0的TOS值为100
Hostname(config-if-tunnel0)#tunnel ttl 10#配置tunnel0的TTL值为10
虚拟交换链路接口
Hostname(config)#vsl-channel 2/1#堆叠模式下,配置虚拟交换成员设备2的vsl-channel 2/1
Hostname(config)#vsl-channel 1#单机模式下,配置vsl-channel 1
链路汇聚
Hostname(config)#lacp system-priority 1000#将系统的LACP优先级配置为1000
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#lacp port-priority 2000#将端口gigabitethernet0/1的LACP优先级配置为2000
Hostname(config-if-gigabitethernet0/1)#lacp rate fast#将端口gigabitethernet0/1发送LACP报文的频率配置为快周期
#将端口gigabitethernet0/1以manual方式加入静态汇聚组1
Hostname(config)#link-aggregation 1 mode manual
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#link-aggregation 1 manual
#将端口gigabitethernet0/2以active方式加入动态汇聚组2
Hostname(config)#link-aggregation 2 mode lacp
Hostname(config)#interface gigabitethernet 0/2
Hostname(config-if-gigabitethernet0/2)#link-aggregation 2 active
Hostname(config)#link-aggregation 1 allow-individual-port#将动态汇聚组1的工作模式配置为与服务器兼容模式
Hostname(config)#link-aggregation 1 load-balance dst-ip#将汇聚组1的负载均衡模式配置为按报文的目的IP地址实现汇聚负载均衡
Hostname(config)#link-aggregation 1 load-balance enh-hash#配置汇聚组1的负载均衡模式为负载均衡增强型模式
#将汇聚组1的负载均衡增强型模式配置为按报文的IP地址实现汇聚负载均衡
Hostname(config)#link-aggregation 1 load-balance enh-hash
Hostname(config)#link-aggregation load-balance enhanced-hash mode ip
端口隔离
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#isolate-port interface gigabitethernet 0/2-0/3#配置端口gigabitethernet0/1与端口gigabitethernet0/2,端口gigabitethernet0/3的隔离
Hostname(config-if-gigabitethernet0/1)#isolate-port link-aggregation 1#配置端口gigabitethernet0/1与汇聚组link-aggregation1的隔离
#使能汇聚组link-aggregation1成员端口隔离功能
Hostname(config)#link-aggregation 1
Hostname(config-link-aggregation1)#link-aggregation member-isolate
Hostname#debug isolate-port#打开端口隔离调试开关
QinQ及VLAN映射
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#frame-tag tpid 0x9100#配置端口gigabitethernet0/1外层VLAN Tag的TPID值为0x9100
Hostname(config-if-gigabitethernet0/1)#inner-priority-trust enable#使能端口gigabitethernet0/1的优先级复制功能
Hostname(config-if-gigabitethernet0/1)#vlan dot1q-tunnel 10,20-30 100#配置gigabitethernet0/1端口下收到的内层VLAN Tag 为VLAN10,20-30的报文添加外层Tag 为VLAN100
Hostname(config-if-gigabitethernet0/1)#vlan dot1q-tunnel drop#使能端口gigabitethernet0/1的QinQ Drop功能
Hostname(config-if-gigabitethernet0/1)#vlan dot1q-tunnel enable#使能端口gigabitethernet0/1的基本QinQ功能
Hostname(config-if-gigabitethernet0/1)#vlan dot1q-tunnel mapping 10 100#配置端口gigabitethernet0/1的收到VLAN Tag为10的报文替换外层VLAN Tag为100
Hostname#debug qinq all#打开基本QinQ、基于端口的灵活QinQ和1:1 VLAN映射的所有信息调试开关
Hostname#show vlan dot1q-tunnel#显示基于端口的灵活QinQ配置
Hostname#show vlan dot1q-tunnel mapping#显示端口配置的1:1 VLAN映射配置
Super-VLAN配置
Hostname(config)#super-vlan 2
Hostname(config-super-vlan2)#arp proxy enable#使能Super-VLAN2的ARP代理功能
Hostname(config-super-vlan3)#sub-vlan 3#配置VLAN3加入Super-VLAN2,成为它的Sub-VLAN成员
PVLAN配置
Hostname(config)#vlan 2
Hostname(config-vlan2)#private-vlan primary#配置普通VLAN2为Primary VLAN类型
////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////
配置Primary VLAN2关联Community VLAN3
Hostname(config)#vlan 3
Hostname(config-vlan3)#private-vlan community
Hostname(config-vlan3)#vlan 2
Hostname(config-vlan2)#private-vlan primary
Hostname(config-vlan2)#private-vlan association add 3
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#switchport mode private-vlan promiscuous#配置端口gigabitethernet0/1为Promiscuous端口
Hostname(config)#mac-address aging-time 30#设置动态MAC地址表项老化时间为30秒
Hostname(config)#mac-address system max-mac-count 1000#配置系统中允许学习的动态MAC地址表项上限为1000条
Hostname(config)#mac-address static 0001.7a00.0001 vlan 2 drop#配置静态过滤MAC地址0001.7a00.0001绑定到VLAN2下
Hostname(config)#mac-address static 0001.7a00.0001 vlan 2 interface gigabitethernet 0/1#配置静态转发地址0001.7a00.0001绑定到VLAN2和端口gigabitethernet0/1下
Hostname(config)#mac-address static 0001.7a00.0001 vlan 2 link-aggregation 1#配置静态转发MAC地址0001.7a00.0001绑定到VLAN2和汇聚组1下
Hostname(config)#mac-address vlan 2 max-mac-count 1000#配置VLAN2中最多允许学习的动态MAC地址最大上限为1000条
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#mac-address learning#开启端口gigabitethernet0/1的动态MAC地址学习能力
Hostname(config-if-gigabitethernet0/1)#mac-address max-mac-count 1000#配置端口gigabitethernet0/1允许学习到的动态MAC地址表项上限为1000条
生成树配置
Hostname(config)#spanning-tree mst configuration
Hostname(config-mst)#instance 1 vlan 2
Hostname(config-mst)#active configuration pending#配置VLAN2映射到生成树实例1,并激活配置
#配置VLAN2映射到生成树实例1。
Hostname#configure terminal
Hostname(config)#spanning-tree enable#全局使能生成树功能
Hostname(config)#spanning-tree mst forward-time 20#配置Forward Delay时间为20秒
Hostname(config)#spanning-tree mst hello-time 5#配置Hello Time时间为5秒
Hostname(config)#spanning-treee autoedge swap-check#开启autoedge swap-check功能
Hostname(config)#spanning-tree bpdu length-check#开启BPDU长度检测功能
Hostname(config)#spanning-tree bpdu max-length 1600#配置进行BPDU报文长度检测时,BPDU报文合法长度的最大值为1600字节
stname(config)#spanning-tree mst instance 1 priority 4096#配置设备在生成树实例1中的网桥优先级为4096
Hostname(config)#spanning-tree mst max-age 30#配置Max Age时间为30秒
Hostname(config)#spanning-tree mst max-hops 10#配置MST域的最大跳数为10
Hostname(config)#spanning-tree pathcost method dot1D-1998#配置采用IEEE 802.1D-1998标准计算端口的缺省路径开销
Hostname(config)#spanning-tree tc-protection enable#使能TC保护功能
Hostname(config)#spanning-tree swap-delay 40#配置swap-delay的值为40秒
Hostname(config)#spanning-tree tc-protection interval 1#配置TC保护功能的间隔时间为1秒
Hostname(config)#spanning-tree tc-protection threshold 5#配置TC保护功能的阀值为5次
Hostname(config)#spanning-tree timer-factor 5#配置端口在连续5次未接收到Hello Time报文时,端口的生成树配置失效
Hostname(config)#spanning-tree transmit hold-count 5#配置端口的最大发送速率为5
Hostname(config)#loopback-detection enable#配置全局使能环回检测功能
Hostname(config)#spanning-tree mst configuration
Hostname(config-mst)#region-name region#配置MST域名为“region”
Hostname(config-mst)#revision-level 100#配置MST域的MSTP修订级别为100
Hostname(config-mst)#instance 1 vlan 2
Hostname(config-mst)#active configuration pending
Hostname(config-mst)#instance 1 vlan 2,4-5
Hostname(config-mst)#active configuration pending#配置VLAN2,VLAN4~VLAN5映射到生成树实例1
Hostname(config)#interface gigabitethernet 0/1
Hostname(config-if-gigabitethernet0/1)#spanning-tree bpdu filter#开启端口gigabitethernet0/1的BPDU Filter功能
Hostname(config-if-gigabitethernet0/1)#spanning-tree bpdu guard#开启端口gigabitethernet0/1的BPDU Guard功能
Hostname(config-if-gigabitethernet0/1)#spanning-tree bpdu src-mac-match 0001.7a00.0001#开启端口gigabitethernet0/1的BPDU 源MAC地址检查功能,配置合法MAC地址为0001.7a00.0001
Hostname(config-if-gigabitethernet0/1)#spanning-tree guard loop#开启端口gigabitethernet0/1的Loop Guard功能
Hostname(config-if-gigabitethernet0/1)#spanning-tree link-type point-to-point#配置端口gigabitethernet0/1的链路类型为点到点链路
Hostname(config-if-gigabitethernet0/1)#spanning-tree mst cisco pre-standard interoperability#开启端口gigabitethernet0/1与Cisco设备的互操作特性
Hostname(config-if-gigabitethernet0/1)#spanning-tree mst instance 1 cost 1000#配置端口gigabitethernet0/1在生成树实例1中的路径开销为1000
Hostname(config-if-gigabitethernet0/1)#spanning-tree mst instance 1 port-priority 80#配置端口gigabitethernet0/1在实例1中的端口优先级为80
Hostname(config-if-gigabitethernet0/1)#spanning-tree portfast autoedge#配置端口gigabitethernet0/1的边缘端口自动检测功能
Hostname(config-if-gigabitethernet0/1)#spanning-tree portfast autoedge force#触发端口gigabitethernet0/1进行边缘端口自动检测
Hostname(config-if-gigabitethernet0/1)#spanning-tree portfast edgeport#配置端口gigabitethernet0/1为边缘端口
Hostname(config-if-gigabitethernet0/1)#spanning-tree tc-guard enable#使能TC过滤功能
Hostname(config-if-gigabitethernet0/1)#loopback-detection enable control#配置以太接口gigabitethernet0/1为受控状态
Hostname(config-if-gigabitethernet0/1)#loopback-detection enable interval-time 100#配置以太接口gigabitethernet0/1的环回检测报文发送周期为100秒
ARP配置
stname#arp bind 10.0.0.1 10.0.0.10#将10.0.0.1 到 10.0.0.10 IP地址段的动态ARP绑定为静态ARP
Hostname(config)#arp limited 4000#配置动态ARP最大条目数为4000
Hostname(config)# arp local-announce enable#使能本地ARP通告功能
Hostname(config)# arp local-announce rate 10#配置本地ARP通告的速率为10个报文每秒
Hostname(config)#arp queue-length 400#配置ARP报文接收队列长度为400
Hostname#arp scan 10.0.0.1 10.0.0.10#扫描10.0.0.1 到 10.0.0.10 IP地址段
Hostname(config)#no arp smac-check multicast#关闭ARP报文源MAC地址有效性检查
Hostname(config)# arp local-announce interval 3600#配置本地ARP通告的时间间隔为3600秒
Hostname(config)#arp 192.168.1.1 0001.7a05.4633#配置静态ARP
Hostname(config)#arp advertise interval 2000#配置静态ARP通告定时器时间间隔为2秒
Hostname(config)#arp advertise#使能静态ARP通告
Hostname(config)#interface vlan 2
Hostname(config-if-vlan2)#ip proxy-arp#使能接口vlan2 ARP代理功能
Hostname(config-if-vlan2)#arp timeout 2000#配置动态ARP老化时间为2000秒并使能动态ARP老化功能
AAA配置
Hostname(config)#aaa new-model
Hostname(config)#aaa authentication login default radius tacacs local#配置使用radius、tacacs、local三种方法进行登录认证
Hostname(config)#aaa authentication password-prompt pwd#配置用户登录输入密码的提示信息为“pwd:”。
Hostname(config)#aaa authentication ppp default radius tacacs local#配置使用radius、tacacs、local三种方法对PPP连接进行认证
Hostname(config)#aaa authentication username-prompt username#配置用户登录设备输入用户名的提示信息为“username:”
Hostname(config)#aaa authorization console#配置启用Console授权
Hostname(config)#aaa authorization exec default radius tacacs local#配置使用radius、tacacs、local三种方法对shell进行授权
Hostname(config)#aaa authorization network default radius tacacs local#配置使用radius、tacacs、local三种方法对网络服务进行授权
Hostname(config)#aaa group server radius rad-group#配置RADIUS服务器组名为rad-group
Hostname(config)#aaa server detect periodic 5#启用RADIUS服务器探测功能,探测周期为5分钟
Hostname(config)#ip radius source-interface vlan2#配置设备与RADIUS服务器交互的源接口为VLAN2
Hostname(config)#radius-server key 0 admin#配置RADIUS服务器共享密钥为admin
Hostname(config)#radius-server retransmit 5#配置向RADIUS服务器重传的最大次数为5次
ACL配置
Hostname(config)#time-range time-range-mode
Hostname(config-time-range)#absolute start 00:00 1 october end 23:59 3 october#为时间域time-range-mode配置一个时间段,内容为从10月1日00:00到10月3日23:59
Hostname(config)#access-list 9001 permit ip any any host 192.168.1.1 host 0001.7a00.0001#为编号为9001的Hybrid高级ACL配置一条规则,内容为允许目的IP地址为192.168.1.1,目的MAC地址为0001.7a00.0001的IP报文通过。
Hostname(config)#access-list 5001 permit tcp host 192.168.1.1 host 0001.7a00.0001#为编号为5001的Hybrid扩展ACL配置一条规则,内容为允许源IP地址为192.168.1.1,源MAC地址为0001.7a00.0001的TCP报文通过
Hostname(config)#access-list 1001 permit tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80#为编号为1001的IP扩展ACL配置一条规则,内容为允许192.168.1.0/24网段内的主机与192.168.2.0/24网段内主机的WWW端口(端口号为80)建立连接
Hostname(config)#access-list 1 permit host 192.168.1.1#为编号为1的IP标准ACL配置一条规则,内容为允许源地址为192.168.1.1的IP报文通过
Hostname(config)#access-list 3001 permit 0001.7a00.0000 0000.0000.ffff 0001.7a01.0000 0000.0000.ffff#为编号为3001的MAC扩展ACL配置一条规则,内容为允许0001.7a00.0000/32网段内的主机与0001.7a01.0000/32网段内主机进行通信
Hostname(config)#access-list 2001 permit host 0001.7a00.0000#为编号为2001的MAC标准ACL配置一条规则,内容为允许源地址为0001.7a00.0001的以太报文通过
Hostname(config)#access-list rule-limit disable#禁用单个ACL的规则数目限制
#为编号为1001的IP扩展ACL配置两条规则的注释,第一条注释内容为允许AAA的主机192.168.1.1访问外网,“Permit only AAA workstation through”;第二条注释内容为拒绝BBB的主机192.168.1.2访问外网,“Do not allow BBB workstation through”。
Hostname(config)#access-list 1001 remark Permit only AAA workstation through
Hostname(config)#access-list 1001 permit ip host 192.168.1.1 any
Hostname(config)#access-list 1001 remark Do not allow BBB workstation through
Hostname(config)#access-list 1001 deny ip host 192.168.1.2 any
Hostname(config)#global hybrid access-group 5001 in#在全局上应用编号为5001的Hybrid扩展ACL,用于过滤端口入方向的所有报文
Hostname(config)#hybrid time-range time-range-mode access-list 5001#将编号为5001的Hybrid ACL与时间域“time-range-mode”绑定
#为编号为9001的Hybrid高级ACL配置一条规则,内容为拒绝目的IP地址为192.168.1.1,目的MAC地址为0001.7a00.0001的IP报文通过。
Hostname(config)#hybrid access-list advanced 9001
Hostname(config-adv-hybrid-nacl)#deny ip any any host 192.168.1.1 host 0001.7a00.0001
#为编号为5001的Hybrid扩展ACL配置一条规则,内容为拒绝源IP地址为192.168.1.1,源MAC地址为0001.7a00.0001的TCP报文通过。
Hostname(config)#hybrid access-list extended 5001
Hostname(config-hybrid-nacl)#deny tcp host 192.168.1.1 host 0001.7a00.0001
#为编号为1001的IP扩展ACL配置一条规则,内容为拒绝源IP为192.168.1.0掩码255.255.255.0、目的IP为192.168.2.0掩码255.255.255.0和tcp端口号为80的报文通过。
Hostname(config)#ip access-list extended 1001
Hostname(config-ext-nacl)#deny tcp 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 eq 80
#为编号为1的IP标准ACL配置一条规则,内容为拒绝源IP地址为192.168.1.1的报文通过。
Hostname(config)#ip access-list standard 1
Hostname(config-std-nacl)#deny host 192.168.1.1
#为编号为3001的MAC扩展ACL配置一条规则,内容为丢弃源MAC为0001.7a00.0000掩码为ffff.ffff.0000与目的MAC为0001.7a01.0000掩码为ffff.ffff.0000的以太报文。
Hostname(config)#mac access-list extended 3001
Hostname(config-ext-mac-nacl)#deny 0001.7a00.0000 0000.0000.ffff 0001.7a01.0000 0000.0000.ffff
#为编号为2001的MAC标准ACL配置一条规则,内容为拒绝源MAC地址为0001.7a00.0001的以太报文通过
Hostname(config)#mac access-list standard 2001
Hostname(config-std-mac-nacl)#deny host 0001.7a00.0000
以上命令为迈普设备常见网络配置,学会了我们差不多可以玩转迈普设备了,后续我也会把可靠性配置、攻击检测配置、网络管理配置以及QoS配置呈上,欢迎有兴趣的小伙伴收藏加关注。
,
